Biện pháp phòng chống DDoS vô cùng hiệu quả

Tấn công DDOS hay còn được gọi tấn công từ chối dịch vụ đơn giản được hiểu là tạo ra 1 lượt truy cập ảo ồ ạt vào một địa chỉ website tại cùng một thời điểm nào đó đã định sẵn nhằm “đánh sập” máy chủ lưu trữ khiến nó chạy chậm hoặc không thể chạy được nữa. Bài viết dưới đây chia sẻ về phương pháp chống DDOS hiệu quả nhất với hi vọng sẽ hỗ trợ được cho các bạn hoàn toàn có thể chủ động phòng chống.

Các dạng tấn công từ chối dịch vụ

DDoS là dạng tấn công rất phức tạp, nhiều chuyên gia bảo mật tiếp cận chúng theo các cách khác nhau.Theo một cách dễ hiểu nhất, TABATECH.VN phân loại theo 2 dạng:

1. Dạng tấn công DDoS gây ngập lụt (Flooding attacks)

Ở dạng này, các gói tin hợp lệ số lượng lớn sẽ được gửi tới máy tính nạn nhân bởi những kẻ tấn công mạng và làm máy nạn nhân phải hoạt động hết công suất, tiêu thụ lượng tài nguyên đáng kể CPU, RAM, Disk IO, băng thông mạng. Điều này khiến người dùng hợp lệ truy cập bị gián đoạn.
Các gói tin hợp lệ gửi tới máy nạn nhân được huy động từ mạng BootNet do tin tặc tạo ra từ rất rất nhiều máy tính bị nhiễm mã độc Trojan. Các máy bị nhiễm mã độc sẽ bị điều khiển của tin tặc, gửi những yêu cầu như http://victim.computer, với mô hình BootNet chứa rất nhiều máy tính bị nhiễm như vậy thì khi tấn công sẽ làm hệ thống đích bị suy yếu rất lớn.

2. Dạng tấn công DDoS kiểu Logic (Logical Attacks)

Các lỗ hổng giao thức, lỗ hổng ứng dụng trên máy của nạn nhân sẽ bị những kẻ tấn công lợi dụng để thực hiện tấn công tràn không gian bảng kết nối khiến người dùng hợp lệ không thể truy cập được dịch vụ.

Ví dụ:

Điển hình là dạng tấn công SYN Flood: Kẻ tấn công dùng , kẻ tấn công sẽ dựa vào quá trình bắt tay 3 bước (handshake 3- wiki htttp) để gửi một lượng lớn gói tin khởi tạo kết nối SYN làm đầy bảng kết nối trên máy nạn nhân.
(trên Linux bảng này gọi là conntrack Table)
Sau khi hiểu về hình dạng loại tấn công DDoS, chúng ta sẽ dựa vào đó để ngăn chặn.
Cách phòng chống tấn công DDoS cũng đa dạng như cách kẻ tấn công thực hiện chúng.

Cách phòng chống tấn công từ chối dịch vụ DDoS

Ngắt kết nối máy nạn nhân khỏi mạng BootNet của tin tặc là một trong những cách đơn giản hiệu quả mà chúng tôi sẽ thực hiện:

Sẽ có 3 nhóm giải pháp chống tấn công từ dịch vụ DDoS chính:

Phòng chống DDoS theo thời điểm xử lý tấn công

– Thời điểm trước khi xảy ra tấn công: Tại các bước này thực hiện các công việc về phòng vệ, ngăn chặn các cuộc tấn công có thể xảy ra. Các bước thực hiện đó là:

·         Rào chính sách bảo mật chặt chẽ.

·         Cập nhật hệ thống và vá lỗ hổng thường xuyên.

·         Có hệ thống theo dõi realtime bất thường xảy ra trong hệ thống và cảnh báo khi có sự cố.

– Thời điểm khi bị tấn công

Ở giai đoạn này hệ thống sẽ phát hiện, nhận dạng và ngăn chặn tấn công càng nhanh càng tốt để dịch vụ vẫn hoạt động được.

– Thời điểm sau khi xảy ra tấn công

Đây là các bước thực hiện sau khi cuộc tấn công đã xảy ra, bao gồm lần dấu vết và truy tìm nguồn gốc cuộc tấn công. Cần truy tìm theo log ghi nhận được để phân tích và ngăn chặn các cuộc tấn công tiềm ẩn có thể xảy ra sắp tới.

Phòng chống DDoS theo vị trí triển khai

– Triển khai tại gần mạng nguồn tấn công:
Đây là phương pháp triển khai nhằm cách ly mạng BootNet tham gia tấn công DDoS, các biện pháp bao gồm:

·         Lọc gói tin giải mạo tại Router/Switch/Gateway/Modem

·         Sử dụng tường lửa hoặc proxy có thể nhận dạng và giới hạn các gói tin không hợp lệ.

– Triển khai tại gần “mạng đích” tấn công:
Phương pháp này cũng thực hiện tại Router/Swtich/gateway/Modem, nhưng ở gần mạng đích của máy tính bị tấn công, các biện pháp bao gồm:

·         Nhận diện IP và các yêu cầu giả mạo.

·         Tiếp tục lọc và đánh dấu gói tin hợp lệ hay không hợp lệ để hệ thống bị tấn công có thể nhận diện được gói tin nào hợp lệ và gói tin nào đang tấn công. Các kỹ thuật thực hiện ở bước này gồm: Lọc IP theo history log, lọc IP theo kết nối đồng thời, tỷ lệ gói tin truyền qua theo địa chỉ IP.

– Triển khai tại đích tấn công.
Tương tự tại vị trí này cũng thực hiện trên Router/Swtich/gateway/Modem và khiển khai trên máy chủ (máy bị tấn công). Các biện pháp bao gồm: lọc gói tin và phát hiện các gói tin độc hại.

 Phòng chống DDoS theo giao thức mạng:

Phòng chống DDoS tại tầng TCP

·         Lọc gói tin dựa theo địa chỉ IP, theo các chính sách đã được thiết lập sẵn.

·         Tăng Backlogs size để tăng khả năng chấp nhận kết nối mới của hệ thống máy đích.

·         Giảm thời gian chờ nhận gói tin xác thực kết nối TCP-ACK, giúp máy chủ hủy bỏ các kết nối không được xác thực trong khoảng thời gian ngắn, điều này giúp giải phóng lượng tài nguyên đang bị chiếm dữ của các kết nối ko tin cậy.

·         SYN Flood là một dạng tấn công từ chối dịch vụ dựa theo giao thức TCP thường gặp, để chặn được hiệu quả có thể dùng cách sử dụng SYN Cookies với mục đích chỉ cấp tài nguyên cho những yêu cầu hợp lệ.

Phòng chống DDoS tại tầng ứng dụng

·         Giới hạn tối thiểu các hành vi truy cập, ví dụ như giới hạn kết nối đồng thời truy cập từ 1 IP hay giới hạn tỷ lệ kết nối không quá 100 request trong 1 phút. Nếu quá ngưỡng này truy cập sẽ bị block.

·         Coi log trong Log ứng dụng là công cụ chính để rà soát các bất thường, hành vi rà quét.

Nguồn: 

https://tabatech.vn/cach-phong-chong-tan-cong-ddos/